npm包@ctrl/tinycolor遭恶意更新引发大规模供应链攻击

时间：2025-09-16 10:01:11作者：Web3起点网分类：快讯浏览：10

Socket Research Team于9月16日披露，npm包@ctrl/tinycolor（周下载量220万次）因恶意更新卷入大规模供应链攻击，波及angulartics2@14.1.2、@ctrl/tinycolor@4.1.1/4.1.2、ngx-color@10.0.2等40余个包。该团队建议用户立即卸载受影响版本或锁定至安全版本，并对相关环境进行审计，同步轮换npm令牌及其他暴露密钥。